|
-------需求------- 一台AF放在总部,一台MIG放在分支,两台设备建立VPN,分支访问总部。
-------实施前确认------- 经过确认,客户总部现有一台路由器放在出口,现在准备将那台路由器往下移,换成防火墙,根据客户提供的信息以及整改后的拓扑如下 分支MIG出口部署,内网一个网段192.***.1.0,MIG作为DHCP服务器 -------基本配置------- 基本配置(略) AF配置接口地址、回包路由、代理上网、应用控制全放通 MIG配置接口地址,DHCP、NAT 效果:AF和MIG都正常上网 -------排坑之旅------- 第一坑:AF的会话排行都是公网地址 1、检查设备配置基本无问题 2、绞尽脑汁中...... 3、哦,之前出口是路由器,上面做了地址转换,内网所有地址都被转换成了192.***.9.3这个地址上网,所以只有一个192.***.9.3的地址,公网地址连接数比较少,根据连接跟踪发现是公网的访问数据,比如我就在用公网访问他们的控制台(此条为猜测) 4、验证第3条,果然,路由器上做了地址转换 5、先在路由器上加了路由,目的地址0.0.0.0 掩码0.0.0.0 下一跳 192.***.9.2,然后删除SNAT,操作完成之后故障恢复
第二坑:总部webagent无法填写 1、由于总部是拨号上网,所以提前找400申请了webagent,在填写的时候发现在I填写的地方为灰色,无法编辑 2、绞尽脑汁中...... 3、随便点点中....... 4、咦,发现加入了BBC,取消,但是密码多少呢?我也不知道,客户也不知道,试下默认的(dlanrecover),不对,试下我常用的,竟然对了,看来是我之前远程过的设备。既然解码了,跟客户开个玩笑,缓解一下尴尬的气氛 哈哈哈,毫无征兆的吃顿狗粮,不过内心毫无波澜,毕竟我VPN还是没开始建立。
---如果还是不对怎么办? 打400后台取消 ---为什么会加入BBC? 因为这台设备是之前测试设备,拿到另一个地方继续测试 ---为什么没恢复出厂? 我也不知道 ---需要恢复出厂吗? 当然需要了,换地方测试还要拷机呢 故障分析:加入集中管理是无法配置VPN的,需要在BBC平台配置然后下发配置,BBC默认解控密码dlanrecover,可以在BBC上修改,当然,现在的BBC上有个临时解控密码,也是可以的,在我分享BBC的那篇有讲到使用临时的解控密码,(不敢给自己打广告太过分哈哈) 第三坑:VPN建立连接之后提示地址冲突 1、大家看我的图,怎么可能冲突嘛,我一边是192.***.11-12.0/24,一端是192.168.1.0/24,怎么可能冲突嘛 2、绞尽脑汁中...... 3、突然想到,这台设备测试之前没恢复出厂哇,会不会是以前的配置导致的 4、翻看配置中 5、果然,在本地子网这个角落发现了毛呢,哦不,猫腻,天冷了,大家记得穿毛呢大衣,回归正题,在本地子网还是之前发布的192.***.1.0 172.。。网段,也就是在总部发布的1.0的路由使得两边地址冲突,,如下 6、删除此条路由,再来看下VPN链接状态,恩,链接正常了
故障分析:本地子网就是向对端宣告VPN路由的作用,当VPN设备A与内网网段非直连、且SANGFOR VPN对端B接入需要访问到这些内网的网段时,需要在设备A上设置本地子网(摘自小助手)
第四坑:VPN建立之后无法互访 1、客户反馈分支可以ping通192.***.9.0/网段,ping不通其他网段 2、绞尽脑汁中...... 3、到这边相信大家都发现问题了,ping不同内网的网段因为没发布VPN路由哇,第三个问题的时候我一股脑将错误的本地子网全部删除,但是没将正确的加上哇,加上测试 4、测试结果 测试正常
故障分析:同三
-------后记------- 我这该死的,无处安放的,坑自己的货。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-10-31 15:02
技术研究员1级 
